标签: kerberos

我很难在 Fedora 26上设置nfs+ kerberos。

我遵循了本教程：

RHEL7：使用 Kerberos 控制对 NFS 网络共享的访问 | 证书仓库

目前，纯 NFS 工作正常，kinit单独工作正常，但我在尝试挂​​载时仍然没有获得许可，并且在/var/log/krb5kdc.log.

krb5kdc[12560](info): AS_REQ (8 etypes {18 17 16 23 25 26 20 19}) 192.168.0.13: NEEDED_PREAUTH: nfs/rbenedettin.local@LOCAL for krbtgt/LOCAL@LOCAL, Additional pre-authentication required                        
krb5kdc[12560](info): preauth (encrypted_timestamp) verify failure: Preauthentication failed                                                                                                                      
krb5kdc[12560](info): AS_REQ (8 etypes {18 17 16 23 25 26 20 19}) 192.168.0.13: PREAUTH_FAILED: nfs/rbenedettin.local@LOCAL for krbtgt/LOCAL@LOCAL, Preauthentication failed

我想使用zero-config，我试过不使用它（编辑/etc/hosts），但问题仍然存在，其他一些教程指向authconfig-gui或authconfig-tui但 Fedora 26 不再有它。网络上几乎没有关于最近的 …

简而言之，我最近建立了一个 RHEL 7 服务器并将其注册到 FreeIPA。所有其他注册的服务器都可以仅使用主机名通过 SSH 相互连接，而不会出现任何问题，使用 gssapi-with-mic 进行身份验证，但这个服务器似乎配置错​​误，并回退到密码身份验证。具体来说，它似乎试图使用短主机名与远程服务器的 FQDN，除非我明确地 ssh 到 FQDN。

如果我使用 FQDN ssh，即

ssh remote-hostname.domain.com

一切正常。如果我不这样做，即

ssh remote-hostname

系统提示我输入密码。启用 ssh 调试提供以下内容：

debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Server host/remote-hostname@REALM.COM not found in Kerberos database

nslookup 正确给出了服务器的 FQDN：

[kevin@local-hostname ~]$ nslookup remote-hostname
Server:     x.x.x.x
Address:    x.x.x.x#53

Name:   remote-hostname.domain.com
Address: x.x.x.x

本地服务器的域似乎设置正确：

[kevin@local-hostname ~]$ hostname
local-hostname
[kevin@local-hostname ~]$ hostname -f
local-hostname.domain.com

我对从这里去哪里有点困惑。有人能告诉我为什么 SSH 到远程主机名可能不起作用吗？不幸的是，我是 Kerberos 的新手，除了验证新服务器上的 /etc/krb5.conf …

我正在尝试在 Debian Jessie 上使用 OpenLdap 自动化设置 Kerberos MIT 身份验证。

身份验证部分运行良好，因为我可以使用我的 kerberos 帐户登录到 SSH。

我什至可以使用 pam_mkhomedir.so 创建用户主目录

但是，我不能使用 Ldap posixGroup 来允许访问我的 SSH 服务器：

这是输出 getent group

getent group | grep tupac
adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc

这是 sshd_config 的摘录：

AllowGroups adminsLinux

以下是日志文件：

sshd[3305]: User tupac from a.b.c.d not allowed because not in any group
sshd[3305]: input_userauth_request: invalid user tupac [preauth]
sshd[3305]: Connection closed by a.b.c.d [preauth]

这是id tupac输出

uid=20003(tupac) gid=20003 groups=20003

tupac 用户不属于任何 Unix 组，但我想允许基于 OpenLdap posixGroup 的访问。我认为 /etc/nsswitch.conf 配置和 getent 组解析足以根据 posixGroups …

我正在设置 Kerberized NFSv4 供个人使用

• 手动配置NFS、KDC
• 没有名称服务器（使用/etc/hosts替代），没有 LDAP
• 所有计算机上的相同用户（不一定是相同的 id）并对所有安全模式使用 id 映射（nfs4_disable_idmapping设置为“N”）

我有两台机器，都运行 Ubuntu 20.04 LTS

• arhiv.pecar（本地地址192.168.56.200）有 NFS 服务器和 KDC
• client.pecar（本地地址192.158.56.100）是客户端

所有管道似乎都可以工作，我可以很好地安装共享，但是

• 如果共享导出为sec=sys

  服务器exportfs -v输出

  /srv/export     <world>(rw,async,wdelay,no_root_squash,no_subtree_check,sec=sys,rw,secure,no_root_squash,no_all_squash)
  

  Run Code Online (Sandbox Code Playgroud)

  客户端mount输出

  arhiv.pecar:/srv/export on /mnt type nfs4 (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=krb5,clientaddr=192.168.56.100,local_lock=none,addr=192.168.56.200)
  

  Run Code Online (Sandbox Code Playgroud)
  • root 拥有完全的读/写访问权限
  • 如果设置了足够的权限，其他用户可以读/写文件
  • nfsidmap处于活动状态，客户端上的列表文件可以正确翻译用户名/组
  • chown来自客户端是可能的，并正确翻译用户名/组

  文件是在客户端的 uid/gid 下创建的，这意味着它们是在服务器上使用错误的uid/gid 创建的

  如果服务器碰巧有具有相同 uid 的用户，它会映射到错误的所有者，否则所有者是nobody:4294967294

  有效用户似乎是由客户端 uid 指定的用户。

  我想这是使用时的一个已知缺点sec=sys

• 如果共享导出为sec=krb5

  服务器exportfs -v …

最重要的问题是：

• 如何在 Debian 中启用 SDDM 接受用户名输入？

潜在/隐含的问题：

• SDDM如何识别用户？
• Debian 的替代品是什么/etc/sddm.conf？

也就是说，在使用 Debian Jessie 的 LDAP/Kereberos 客户端上，有时 SDDM 登录屏幕会提供所有用于登录的 LDAP 用户的列表 - 有时则不会。

即，如何更改 SDDM 的登录屏幕以允许输入用户名并使用 LDAP/Kereberos 进行验证？

Samba 在 ubuntu 服务器 14.04 上运行良好。升级到 16.10 后，它不再启动。我还尝试在新的 16.10 虚拟机上安装 samba，但它不起作用。

这里的服务错误信息：

root@srvvm:~# systemctl restart smbd
Job for smbd.service failed because the control process exited with error code.
See "systemctl status smbd.service" and "journalctl -xe" for details.
root@srvvm:~# systemctl status smbd
? smbd.service - Samba SMB Daemon
   Loaded: loaded (/lib/systemd/system/smbd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Mon 2017-01-30 17:27:42 CET; 2s ago
     Docs: man:smbd(8)
           man:samba(7)
           man:smb.conf(5)
  Process: 3075 ExecStart=/usr/sbin/smbd $SMBDOPTIONS (code=exited, status=1/FAILURE)
 Main PID: 3075 (code=exited, status=1/FAILURE) …